Skip to main content

Petya Ransomware / Wiperin modus operandi on vanha viini uudessa pullossa

Petya Ransomware / Wiperin modus operandi on vanha viini uudessa pullossa

Geoffrey Carr

Petya Ransomware / Pyyhin on tuhoa Euroopassa, ja vakoilu infektiosta nähtiin ensimmäisen kerran Ukrainassa, kun yli 12 500 koneita oli vaarassa. Pahinta oli se, että infektiot olivat levinneet myös Belgiaan, Brasiliaan, Intiaan ja myös Yhdysvaltoihin. Petyassa on mato-ominaisuuksia, joiden ansiosta se voi levitä sivuttain verkon yli. Microsoft on antanut ohjeet siitä, miten se käsittelee Petyaa,

Petya Ransomware / Pyyhin

Alkuperäisen tartunnan leviämisen jälkeen Microsoftilla on nyt näyttöä siitä, että muutamia ransomware-ohjelman aktiivisista infektioista havaittiin ensin laillisesta MEDoc-päivitysprosessista. Tämä teki selkeän tapauksen ohjelmistoketjuketjun hyökkäyksistä, joka on tullut melko yleiseksi hyökkääjien kanssa, koska se tarvitsee erittäin korkean tason.

Alla oleva kuva edellä osoittaa, kuinka Evit.exe prosessin Medoc suoritetaan seuraavaa komentoa, Mielenkiintoista samanlainen vektori mainitsi myös Ukrainan Cyber ​​poliisi julkisella indikaattorien luettelon kompromissi. Petya kykenee näin sanomaan

  • Varastaa käyttöoikeudet ja käyttää aktiivisia istuntoja
  • Haitallisten tiedostojen siirtäminen koneisiin tiedostojen jakopalvelujen avulla
  • SMB: n haavoittuvuus väärinkäytettyjen koneiden tapauksessa.

Sivusuuntainen liike mekanismi, jolla käytetään tunnistetietojen varastamista ja jäljentämistä tapahtuu

Kaikki alkaa siitä, että Petya pudotetaan tunnistetietojen polkumyyntityökalu, ja tämä tulee sekä 32- että 64-bittisiin versioihin. Koska käyttäjät kirjautuvat yleensä useisiin paikallisiin tileihin, on aina mahdollista, että yksi aktiivisesta istunnosta avautuu useille koneille. Varastetut valtakirjat auttavat Petyaa pääsyn pääsyn tasolle.

Kun Petya skannaa paikallinen verkko päteviin yhteyksiin portit tcp / 139 ja tcp / 445. Seuraavassa vaiheessa se pyytää aliverkkoa ja jokaiselle aliverkon käyttäjälle tcp / 139 ja tcp / 445. Kun vastaus on saatu, haittaohjelmisto kopioi sitten binaarin etäkoneeseen käyttämällä tiedostojen siirtoominaisuutta ja aiemmin onnistuneesti varastettuja tunnistetietoja.

Ransomware pudottaa psexex.exe-tiedoston sulautetusta resurssista. Seuraavassa vaiheessa se etsii paikallisen verkon admin-$ -osioille ja sitten toistaa itsensä verkon kautta. Erillään tilitietojen polkumyynti haittaohjelma yrittää myös varastaa valtuuskirjeen hyödyntämällä CredEnumerateW toiminnon saadakseen kaikki muut käyttäjän tilitiedot tilitietojen myymälän.

salaus

Haittaohjelman päättää salata järjestelmän riippuen haittaohjelma prosessi etuoikeus tasolla, ja tämä tapahtuu käyttämällä XOR-pohjainen hajautusalgoritmia, joka tarkistaa vastaan ​​hash-arvot ja käyttää sitä käyttäytymistä syrjäytymistä.

Seuraavassa vaiheessa Ransomware kirjoittaa pääkäynnistystietueeseen ja perustaa järjestelmän käynnistämään uudelleen. Lisäksi se käyttää aikataulun mukaisia ​​tehtäviä, jotta kone sammuu 10 minuutin kuluttua. Nyt Petya näyttää väärennetyn virhesanoman, jota seuraa todellinen Ransom-viesti, kuten alla on esitetty.

Ransomware yrittää sitten salata kaikki tiedostot eri laajennuksilla kaikkiin asemiin lukuun ottamatta C: Windowsia. AES-avain on kiinteä asema, ja se viedään ja käyttää hyökkääjän sulautettua 2048-bittistä RSA-julkista avainta, Microsoft sanoo.

Link
Plus
Send
Send
Pin